CVE-2025-59788

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-749 Exposición de método o función peligrosos

Fecha de publicación:

04/12/2025

Última modificación:

25/03/2026

Descripción

*** Pendiente de traducción *** Cross-site scripting (XSS) vulnerability in a reachable files_pdfviewer example directory in Nextcloud with versions before 22.2.10.33, 23.0.12.29, 24.0.12.28, 25.0.13.23, 26.0.13.20, 27.1.11.20, 28.0.14.11, 29.0.16.8, 30.0.17, 31.0.10, and 32.0.1 allows attackers to execute arbitrary JavaScript in the context of a user&#39;s browser via a crafted PDF file to viewer.html. This issue is related to CVE-2024-4367, but the root cause of this Nextcloud issue is that the product exposes executable example code on a same-origin basis.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.40

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:nextcloud:nextcloud_server:::::-:::*	30.0.0 (incluyendo)	30.0.17 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::-:::*	31.0.0 (incluyendo)	31.0.10 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::-:::*	32.0.0 (incluyendo)	32.0.1 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	22.0.0 (incluyendo)	22.2.10.33 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	23.0.0 (incluyendo)	23.0.12.29 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	24.0.0 (incluyendo)	24.0.12.28 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	25.0.0 (incluyendo)	25.0.13.23 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	26.0.0 (incluyendo)	26.0.13.20 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	27.0.0 (incluyendo)	27.1.11.20 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	28.0.0 (incluyendo)	28.0.14.11 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	29.0.0 (incluyendo)	29.0.16.8 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	30.0.0 (incluyendo)	30.0.17 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	31.0.0 (incluyendo)	31.0.10 (excluyendo)
cpe:2.3:a:nextcloud:nextcloud_server:::::enterprise:::*	32.0.0 (incluyendo)	32.0.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CVE-2025-59788

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información